Gespeicherte Daten sind ein wichtiger Teil des Betriebskapitals eines Unternehmens – und der Datenbestand wächst beständig. Administratoren stehen also vor der Herausforderung, dem immensen Bedarf nach Speicherkapazität zu begegnen und hochverfügbare Storage-Lösungen bereitzustellen. Hinzu kommen die rechtlichen Anforderungen: Was muss man speichern, wie muss man es speichern, was soll man speichern, was darf man aus Datenschutzgründen nicht speichern?
Da die IT-Budgets trotz dieser umfangreichen Anforderungen an eine Storage-Lösung aber tendenziell gleich bleiben oder gar sinken, spielen zusätzlich die Kosten eine große Rolle. Die Lösung: effiziente Speicherkonsolidierung. Der folgende Beitrag gibt Unternehmen einen groben Leitfaden für die Durchführung eines typischen, rechtskonformen Projektes zur Speicherkonsolidierung im Mittelstand an die Hand.
Die Ausgangssituation
Ein mittelständisches Unternehmen setzt derzeit typischerweise auf die klassische Variante eines Speichernetzes, nämlich Direct Attached Storage (DAS). Hier hat jeder Server – in der Regel im gleichem Servergehäuse – Festplatten, die exklusiv und ausschließlich ihm zur Verfügung stehen. Die Vorteile von DAS-Lösungen liegen in den meist niedrigen Anschaffungskosten und der einfachen Implementierung.
Allerdings ist ihre Auslastung ineffizient, da andere Server von freien Festplattenkapazitäten nicht profitieren können. Außerdem sind Erweiterungen aufwändig, bedürfen eines mehrstündigen Wartungsfensters und erzeugen erhebliche Unterhaltskosten. Aber auch mittelständische Unternehmen sind sehr sensibel hinsichtlich der Wartungsfenster bei produktionsrelevanten Applikationen wie der Lagerverwaltung.
Rechtssicherheit ist Chefsache
Vielfach wird verkannt, dass die Organisation (nicht aber die Umsetzung) von IT-Sicherheit – und hierzu gehört auch ein zukunftsfähiges Speicherkonzept – in den Verantwortungsbereich der Geschäftsleitung fällt. Praktisch kein Unternehmen kann sich heutzutage noch einen Ausfall seiner IT-Systeme, den Verlust oder die Nichtverfügbarkeit von Daten erlauben. Daten sind das Kapital jedes Unternehmens. Nach Paragraf 91, Absatz 2 Aktiengesetz muss der Vorstand „geeignete Maßnahmen treffen (…), damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
Er muss mit einem Wort Risikomanagement betreiben, was die IT und insbesondere den Schutz der unternehmenskritischen Daten einschließt. Wenn Vorstandsmitglieder diese ihnen obliegende Pflicht verletzen, haften sie der Gesellschaft persönlich auf den Ersatz eines etwa entstehenden Schadens. Das trifft nicht nur für Vorstände in Aktiengesellschaften, sondern auch auf GmbH-Geschäftsführer zu.
Dabei gilt: Die Nichtverfügbarkeit von unternehmenskritischen Daten (ob wichtige Daten aus Forschung und Entwicklung oder schlicht die Bereitstellung des korrekten Lagerbestandes im ERP-System) wird sehr schnell sehr teuer. Auch wenn die Geschäftsleitung sich meist lieber dem Kerngeschäft als der IT widmet sollten auch im eigenen Interesse die Anregungen des IT-Leiters ernst genommen werden.
Die Anforderungen auf einen Blick
Unabhängig von Technologie und Hersteller muss eine Speicherkonsolidierung investitionssicher und kostengünstig sein, vor allem aber mittelfristig auch Kosten einsparen. Sie muss flexibel und skalierbar sein, die Komplexität der IT reduzieren, die Ausfallsicherheit und Verfügbarkeit erhöhen, Wartungsfenster reduzieren sowie mit Backup-Lösungen kombinierbar sein.
Darüber hinaus muss sie die rechtliche Anforderung erfüllen: Im Bereich der Datenspeicherung muss jedes Unternehmen klären, welche Daten es wie lange speichern muss und darf. Steuerlich relevante Daten etwa müssen über einen Zeitraum von sechs bis zehn Jahren in unveränderbarer Form und jederzeit leicht zugänglich gespeichert werden. Auch muss auf die strukturierte Speicherung geachtet werden – bei einer digitalen Betriebsprüfung soll der Prüfer nur die Daten einsehen können, die seinem Prüfungsauftrag entsprechen. Kann das Unternehmen ihm diese nicht getrennt zur Verfügung stellen, wird der Prüfer mehr sehen als erforderlich – mit allen dadurch möglichen Folgen.
Hinzu kommen von Branche zu Branche variierende Anforderungen: Ein Rechtsanwalt muss seine (digitalen) Handakten für die Dauer von fünf Jahren aufbewahren. Bei Ärzten gelten vielfach weit längere Fristen. Aufzeichnungen über Röntgenbehandlungen beispielsweise sind 30 Jahre nach der letzten Behandlung aufzubewahren. Und dass ein Versicherer die Daten langfristiger Verträge gegebenenfalls auch nach 40 Jahren noch verfügbar haben muss, versteht sich von selbst.
All dies zeigt: Die Frage der richtigen Speichertechnik will wohl überlegt sein. Aus rechtlicher Sicht empfiehlt sich, falls das Unternehmen nicht über eine hochspezialisierte IT-Abteilung verfügt, die Einschaltung geeigneter Fachberater. Dadurch dokumentiert die Geschäftsleitung, dass sie dem Thema die gebotene Aufmerksamkeit geschenkt hat.
Technische Realisierung einer Speicherkonsolidierung
In Falle eines mittelständischen Unternehmens kommt eine SAN-Lösung zum Einsatz; SAN-Lösungen (Storage Area Networks) stellen Speicher für alle Server zur Verfügung, da sie statt einzelner Files Block-basiert arbeiten und nicht – wie NAS-Technologien (Network Attached Storage) – filebasiert vorgehen. Als Protokoll eignet sich speziell für den Einsatz im Mittelstand das iSCSI-Protokoll optimal: Es ist ein einfach zu implementierendes Protokoll und bereits vorhandenes Netzwerkequipment kann prinzipiell verwendet werden. Darüber hinaus genügen in der Regel fundierte Netzwerkkenntnisse.
Der Einsatz von iSCSI erzwingt zwar keine Separierung des SAN. Mittelständler sollten aber zumindest auf eine Abtrennung des SAN-Netzes setzen – gegebenenfalls genügt auch eine virtuelle Separierung, je nach Leistungsfähigkeit des Netzwerkes. Weiterhin ist der Einsatz von Netzwerkkarten mit TCP Offload Engine (TOE) sinnvoll, da sie die Serverprozessoren entlasten. Die Festplattentechnologie – hochperformante SAS- (Serial-Attached-SCSI) oder kostengünstige S-ATA-Platten – richtet sich nach der Wertigkeit der zu speichernden Daten In der Praxis kommen oftmals beide Typen parallel zum Einsatz.
Optimale Sicherheit bietet ein RAID-6-Konstrukt, das aus mindestens vier Festplatten besteht. Der Vorteil: Dabei können bis zu zwei Platten gleichzeitig ausfallen, ohne dass Daten verloren gehen. Um Files oder auch den kompletten Datenbestande wiederherzustellen, muss Speicherplatz für sogenannte Snapshots eingeräumt werden, die eine anwendungskonsistente Momentaufnahme des Filesystems darstellen. Des weiteren sollte das ausgewählte Storagesystem über redundante Controller und Netzteile verfügen.
Da sich mit der Speicherkonsolidierung alle Daten in einem einzigen Storagesystem befinden, sollte als 1:1-Backup ein Redundanzsystem eingeplant werden. Dieses ist unbedingt in einem getrennten Brandabschnitt oder sogar einem separaten Gebäude unterzubringen.
Beispiellösung für ein mittelständisches Unternehmen
Anhand der oben beschriebenen Speicherverfahren, Protokolle, Features und so weiter kann ein IP-Storage-Startsystem für ein mittelständisches Unternehmen folgendermaßen aussehen:
Technisch und rechtlich auf der sicheren Seite
Die technisch und rechtlich ‚richtige‘ Datensicherung ist für die Existenz von mittelständischen Unternehmen elementar. Die Speicherkonsolidierung bietet gegenüber herkömmlichen Verfahren viele Vorteile, etwa die Reduzierung der benötigten Festplatten sowie eine erhöhte I/O-Geschwindigkeit durch die Parallelschaltung mehrerer Disks. Ebenfalls einfacher wird die Bereitstellung von zusätzlichem Speicher – angesichts des steigenden Datenvolumens ein wichtiger Aspekt; zumal uns das Jahr 2011 gelehrt hat, dass Speichervolumen keineswegs immer billiger werden muss.
Aus rechtlicher Sicht muss die Datensicherheit (Systemredundanz) und Datenverfügbarkeit höchste Priorität haben. Das Thema Storage hat längst die Nische der lästigen Technikfragen verlassen und ist zu einem unternehmenskritischen Aspekt geworden, der von der Geschäftsleitung beachtet und überwacht werden muss.
Checkliste: Anforderungen an die Speicherkonsolidierung
Es folgt ein grobe Checkliste, mit der mittelständische Unetrnehmen die Anforderungen an die Konsolidierung ihrer Speicherressourcen überprüfen könnnen. Aspekte der Virtualisierung wurden dabei zunächst außen vor gelassen.
... sind die Autoren dieses Gastbeitrags für ZDNet. Franz Appel zeichnet als Produktmanager bei D-Link Deutschland für den technsichen Part verantwortlich. Christian Wilser hat als Rechtsanwalt und Managing Partner bei PRW Rechtsanwälte die rechtlichen Aspekte beigesteuert.
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…